Предупреждение "вконтактникам"
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения, обнаружена XSS-уязвимость.
Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.
Основываясь на этом, сделан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.
Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.
Пример атаки:
http://vkontakte.ru/apps.php?act=s&id=151392 (новое окно открывается через 2 секунды)
(с) http://habrahabr.ru/blog/webdev/43883.html
UPD: выводы с "переводом на русский":
открывать (просматривать) вконтатке флешки (как они там называются? приложения?) - опасно. Любые флешки - видеоролики, мультики и т.п.
Или, как минимум, надо переспросить у ваших друзей по аське или почте, или еще как-то помимо вконтакта, они ли это выкладывали и что там.
Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.
Основываясь на этом, сделан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.
Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.
Пример атаки:
http://vkontakte.ru/apps.php?act=s&id=151392 (новое окно открывается через 2 секунды)
(с) http://habrahabr.ru/blog/webdev/43883.html
UPD: выводы с "переводом на русский":
открывать (просматривать) вконтатке флешки (как они там называются? приложения?) - опасно. Любые флешки - видеоролики, мультики и т.п.
Или, как минимум, надо переспросить у ваших друзей по аське или почте, или еще как-то помимо вконтакта, они ли это выкладывали и что там.